Comitato Europeo per la protezione dei dati | European Data Protection Board – Terza sessione plenaria 2018

su 27 settembre 201827 settembre 2018 da Matteo Colomboin DPO, EDPB, GDPR, Unione EuropeaLascia un commento

EDPBOARD Il 25 e il 26 settembre 2018, le autorità europee per la protezione dei dati, riunite nel comitato europeo per la protezione dei dati (EDPB) si sono incontrate per la loro terza sessione plenaria.

Durante la plenaria sono stati discussi una vasta gamma di argomenti. Segnalo fra l’altro:

Decisione di adeguatezza UE-Giappone

I membri del Board hanno discusso la bozza di decisione sull’adeguatezza UE-Giappone che hanno ricevuto dal commissario Věra Jourová. Il Board esaminerà ora a fondo il progetto di decisione.

Elenchi di DPIA

L’EDPB ha raggiunto un accordo e adottato i 22 pareri che stabiliscono criteri comuni per gli elenchi della valutazione dell’impatto sulla protezione dei dati (DPIA).

Queste liste costituiscono uno strumento importante per l’applicazione coerente del GDPR in tutta l’UE.

La DPIA è un processo per aiutare a identificare e mitigare i rischi di protezione dei dati che potrebbero influenzare i diritti e le libertà delle persone.

Per aiutare a chiarire i tipi di trattamento che potrebbero richiedere una DPIA, il GDPR richiede alle autorità nazionali di vigilanza di creare e pubblicare elenchi di tipi di operazioni che potrebbero comportare un rischio elevato.

Il Consiglio ha ricevuto 22 liste nazionali con un totale di 260 diversi tipi di trattamento.

I 22 pareri sulle liste DPIA sono previsti dall’art. 35.4 e dall’art. 35.6 GDPR e sono in linea con le linee guida precedenti stabilite dal Gruppo di lavoro articolo 29.

Linee guida sull’ambito territoriale di applicazione GDPR

L’EDPB ha adottato una nuova bozza di linee guida, che contribuirà a fornire un’interpretazione comune dell’ambito di applicazione territoriale del GDPR e fornirà ulteriori chiarimenti sull’applicazione del GDPR in varie situazioni, in particolare laddove il Titolare del trattamento o il responsabile del trattamento è stabilito al di fuori dell’UE, anche sulla designazione di un rappresentante. Le linee guida saranno soggette a una consultazione pubblica.

Fonte: European Data Protection Board

Il DPO dopo l’accordo del Trilogo sul Regolamento Europeo Privacy

su 17 dicembre 20157 gennaio 2016 da Matteo Colomboin DPO, Regolamento UE, Unione EuropeaLascia un commento

Il 15 dicembre 2015, è stato raggiunto un accordo in sede di Trilogo sul testo del Regolamento Europeo sul trattamento dei dati personali.

Cliccare qui per leggere il testo del Regolamento

Il Regolamento, agli artt. 35, 36 e 37, ha definito quale dovrà essere il ruolo del Data Protection Officer all’interno delle nostre organizzazioni.

Cliccare qui per leggere la traduzione non ufficiale degli artt. 35, 36 e 37.

Qui di seguito vi forniamo una breve sintesi rispetto a quanto previsto per questa figura:

LA DESIGNAZIONE

La designazione del D.P.O. è obbligatoria quando:

(a) il trattamento è effettuato da un’autorità o un ente pubblico, fatta eccezione per i tribunali che esercitano l’attività giudiziaria; o
(b) le attività principali del Data Controller o Data Processor consistono in operazioni di trattamento che, in virtù della loro natura, del loro scopo e/o della loro finalità, richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala; o
(c) le attività principali del Data Controller o Data Processor consistono nel trattamento su larga scala di categorie speciali di dati (dati sensibili) ai sensi dell’Articolo 9 e di dati relativi alle condanne penali e reati di cui all’Articolo 9a;
(d) se previsto dal diritto dell’Unione o dal diritto dello Stato membro (comma 4). Un gruppo di imprese può designare un unico D.P.O., a condizione che sia facilmente raggiungibile da parte di ciascuno stabilimento. Più autorità o enti pubblici possono designare un unico D.P.O., tenendo conto della loro struttura e dimensione organizzativa.

I REQUISITI

Il D.P.O. deve essere designato sulla base dell’approfondita conoscenza della normativa sulla protezione dei dati e sulla capacità di svolgere i compiti di cui all’Articolo 37. Può essere un soggetto interno (ossia un membro dello staff del Data Controller o Processor), oppure un soggetto esterno che assolve i propri compiti sulla base di un contratto di servizi.

LA POSIZIONE

Il D.P.O. deve essere correttamente e tempestivamente coinvolto in tutte le tematiche che riguardano la protezione dei dati personali. Il Data Controller o Processor deve fornirgli le risorse necessarie per svolgere i propri compiti, per mantenersi aggiornato, nonché l’accesso ai dati personali e alle operazioni di trattamento. Gli interessati possono contattarlo in merito a tutte le questioni relative al trattamento dei dati nonché per l’esercizio dei propri diritti. Il D.P.O. non deve ricevere alcuna istruzione per quanto riguarda l’esercizio dei propri compiti, non deve venire dimesso o penalizzato in ragione dell’esecuzione delle proprie funzioni, e riferisce direttamente al più alto livello di gestione del Data Controller o Processor. Può svolgere altre attività, purché non siano in conflitto d’interessi. Dev’essere vincolato al segreto o alla riservatezza in merito alla prestazione dei suoi compiti, nel rispetto del diritto dell’Unione o dello Stato membro.

I COMPITI

Il D.P.O. deve:

(a) informare e consigliare il Data Controller o Processor e gli impiegati che trattano i dati personali circa i loro obblighi ai sensi della normativa in materia di protezione dei dati;
(b) controllare il rispetto della normativa in materia di protezione dei dati e delle regole del Data Controller o Processor in materia di protezione dei dati personali;
(c), (d), (e): …. (non riproposti nel testo)
(f) fornire consulenza ove richiesto per quanto riguarda il P.I.A.: Privacy Impact Assessment e monitorare i relativi adempimenti;
(g) cooperare con l’autorità di vigilanza (Autorità Garante Privacy);
(h) agire come punto di contatto per l’autorità di vigilanza sulle questioni relative al trattamento dei dati personali. Deve prendere in debito considerazione i rischi associati alle operazioni di trattamento, avuto riguardo alla natura, allo scopo, al contesto ed alle finalità del trattamento.

Fonte: www.statewatch.org

Autori: Matteo Colombo e Laura Asnaghi

Regolamento Privacy UE | A che punto siamo sul Data Protection Officer?

su 13 novembre 201513 novembre 2015 da Matteo Colomboin DPO, Regolamento UE, Senza categoria, Unione EuropeaLascia un commento

In questi giorni ho avuto modo di leggere un interessante articolo pubblicato da IAPP (International Association of Privacy Professionals) e di confrontarmi con alcuni colleghi DPO che lavorano a Bruxelles.

La domanda che tutti ci poniamo è:

Alla fine del Trilogo la figura del DPO sarà obbligatoria o solo suggerita ?

Come sapete negli ultimi 3 anni sono state redatte 3 diverse versioni di bozze di Regolamento Privacy UE ed in particolare quelle di: Commissione Europea, Parlamento Europeo e Consiglio d’Europa.

Se inizialmente le bozze di Regolamento della Commissione e del Parlamento parlavano di DPO obbligatorio per una serie di aziende, l’ultima versione del Consiglio d’Europa (CDE) ha rivisto sostanzialmente l’articolo 35 prevedendo la figura del DPO facoltativa ad eccezione di disposizioni specifiche dei singoli Stati membri.

In questi mesi, in sede di Trilogo, la divisione delle parti è rimasta, ma entro fine dicembre 2015 dovranno terminare i lavori e gli Stati arriveranno ad una posizione comune che, sia pure di compromesso, dovrà essere trovata.

I “rumors” dicono che un accordo potrebbe essere trovato rendendo la figura del DPO obbligatoria in due casi:

Numero di persone interessate. Dalle iniziali 5.000 si dovrebbe passare ad una cifra compresa fra 50.000 e 500.000 (quindi grandi DB – si pensi al marketing o alla P.A.);
Tipologia dei dati trattati. Ossia nel caso in cui l’attività principale del Data Controller riguardasse il trattamento di dati speciali (ex dati sensibili e giudiziari) ed in particolare dati sanitari. A ciò si aggiungano i Data Controller che trattano dati finanziari o dati di minori.

13 novembre 2015

Autore: Matteo Colombo

Corte di Giustizia Europea e Safe Harbor | che fare ?

su 8 ottobre 20159 ottobre 2015 da Matteo Colomboin DPO, Garante Privacy, Regolamento UE, Safe Harbor, Unione EuropeaLascia un commento

La Corte di Giustizia dell’Unione Europea il 06 ottobre 2015 ha dichiarato invalidi i principi privacy del c.d. “Safe Harbor” relativi al trasferimento dei dati negli Stati Uniti d’America.

Per la Corte l’invalidità è basata sul fatto che i dati trasferiti negli Stati Uniti ai sensi dei principi previsti dalla Direttiva Privacy UE non godrebbero di un livello di protezione dei dati personali equivalente a quello assicurato nel territorio dell’Unione Europea (cfr. caso Snowden).

Infatti, il problema principale rilevato è che gli accordi di Safe Harbor non hanno impedito alle Autorità Pubbliche Americane di monitorare e di accedere ai dati europei trasferiti negli Stati Uniti, anche in circostanze che non si possono considerare necessarie.

L’Autorità Garante Italiana ha evidenziato come sia necessario fornire una risposta coordinata a livello europeo anche da parte delle varie DPA, le quali stanno valutando le modalità più efficaci per individuare linee-guida comuni applicabili ai trasferimenti dei dati verso gli Stati Uniti d’America.

Cosa dovremo fare?
Dovremo bloccare il trasferimento e il trattamento dei dati negli Stati Uniti per quelle società che basano il principio di adeguatezza solo sull’essere certificate "Safe Harbor"?

La decisione non blocca o sospende automaticamente il trasferimento dei dati verso gli Stati Uniti. Tale potere spetta alle competenti autorità nazionali, ovvero per quanto concerne l’Italia al Garante per la protezione dei dati personali.

Tuttavia, alla luce della decisione della Corte di Giustizia dell’Unione Europea, è verosimile che i trasferimenti di dati verso gli Stati Uniti basati esclusivamente sul regime “Safe Harbor” potranno essere oggetto di contestazione.

Le aziende, a parere di chi scrive e di altri autorevoli DPO, in attesa di una presa di posizione politica a livello UE e dei Garanti Privacy, anche attraverso una decisione del WP29, dovrebbero:

rivedere ed analizzare i dati trasferiti negli Stati Uniti ai sensi del “Safe Harbor”, ivi compresi gli accordi con i fornitori americani che fanno affidamento su tali principi;
limitare questi trasferimenti di dati a ciò che è essenziale per il business della società;
adottare le c.d. “standard contractual clauses” | contratti tipo espressamente approvati dalla Commissione Europea e già utilizzati dalle società.
prevedere la possibilità di presentare richiesta per Binding Corporate Rules (BCR), strumento volto a consentire il trasferimento dei dati solo tra società facenti parti dello stesso gruppo di imprese.

Tutto ciò sperando che questa decisione non faccia venir meno anche la legittimità in futuro di tali strumenti.

Le aziende ed i propri Data Protection Officer che si trovano in questa condizione dovrebbero quindi compiere una dettagliata verifica di conformità interna | audit sulle modalità in cui i dati vengono trasferiti negli Stati Uniti e dovranno cercare di minimizzare i rischi di future contestazioni.

07 ottobre 2015

PRIVACY DPO

Categoria: Unione Europea